Adobe hat seine PDF-Anwendungen Reader und Acrobat aktualisiert. Das Update schließt 14 Sicherheitslücken. Vier Anfälligkeiten stuft das Unternehmen als kritisch ein. Ein Angreifer kann unter Umständen Schadcode einschleusen und mit den Rechten des angemeldeten Benutzers ausführen.
Beseitigt wird unter anderem ein Heap-Pufferüberlauf, der zu einer Remotecodeausführung führen kann. Das gilt auch für zwei Use-after-free-Bugs. Andere Schwachstellen ermöglichen das Ausführen von JavaScript-Code, eine nicht autorisierte Ausweitung von Benutzerrechten sowie den Diebstahl vertraulicher Informationen. Zwei Fixes sollen zudem das Umgehen von Signaturen beziehungsweise Sicherheitsfunktionen verhindern.
Entdeckt wurden die Sicherheitslücken ausschließlich von externen Forschern. Darunter sind Mitarbeiter von Tencent Security, Computest, Danish Cyber Defence, Hadoob Labs, Qihoo 360 und Star Labs. Einige Forscher reichten ihre Schwachstellen über die Zero Day Initiative von Trend Micro ein, da Adobe externen Sicherheitsexperten keine Prämien für Sicherheitslücken zahlt.
Betroffene Nutzer sollten möglichst zeitnah auf eine fehlerbereinigte Version der PDF-Anwendungen umsteigen. Für Windows und macOS stellt Adobe Updates auf Acrobat DC und Reader DC 2020.013.20064, Acrobat und Reader 2020 2020.001.30010 sowie Acrobat und Reader 2017 2017.011.30180 zur Verfügung. Die Verteilung erfolgt über die in die Anwendungen integrierte Update-Funktion. Adobe hält die Patches aber auch auf seiner Website zum Download bereit.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…